| العبث في البيانات الوصفية |
| الكاتب Sari Bukhari |
| الأحد, 10 أكتوبر 2010 00:07 |
|
أهمية البيانات الوصفية كدليل في التحقيق الجنائي الرقمي. مقال يوضح الأساليب التي يستخدمها المخربين في العبث وتعديل البيانات الوصفية الخاصة بالملفات بإستخدام أداة مثل timestomp الموجودة في مشروع ميتاسبلويت.
أكثر ما يحرص عليه المحقق الجنائي في حال الحصول على دليل رقمي هو عدم فتح أو تعديل الدليل حتى لا يقوم بتعديل السجلات الموجودة في البيانات الوصفية وبالذات الوقت الذي تم إنشاء فيه الملف وتعديله, وما أهمية الوقت؟ يفيدنا معرفة التوقيت حتى يساعدنا ذلك في عملية التحقيق عن الجريمة من حيث ماهي آخر الملفات التي قام الجاني بإنشائها أو تعديلها. وبشكل آخر أيضاً في حال تم اختراق جهاز ما ويريد المحقق معرفة ماهي الملفات التي قام المخترق بالعبث بها سواء من تعديل أو فتح لملف معين, لذلك أكثر ما يعرقل أي محقق جنائي هو عدم التمكن من حصول على بيانات التوقيت لأي دليل رقمي. وفي الحقيقة أن هذا الرقم ماهو إلا التاريخ والوقت الذي تم إلتقاط الصورة فيه ولكن بإستخدام توقيت UNIX/POSX حيث بعد تحويله إلى توقيت عادي سوف يكون معنى العشر أرقام هذه كالتالي:
التطبيق:سوف أقوم بشرح الطريقة التي يستخدمها أغلب المخربين وهي عن طريق الأداة Timestomp, هذه الأداة تقوم بتعديل التوقيت في البيانات الوصفية لملفات الويندوز دون ترك أي أثر وراءه ! حيث تأتي هذه الأداة مع مشروع Metasploit عند اختيار Meterpreter كـ Payload . [*] Starting interaction with 1... meterpreter > cd C:\
Listing: C:\ Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 100777/rwxrwxrwx 0 fil 2010-08-19 20:15:21 +0300 AUTOEXEC.BAT 100666/rw-rw-rw- 0 fil 2010-08-19 20:15:21 +0300 CONFIG.SYS 40777/rwxrwxrwx 0 dir 2010-08-19 20:19:17 +0300 Documents and Settings 100444/r--r--r-- 0 fil 2010-08-19 20:15:21 +0300 IO.SYS 100444/r--r--r-- 0 fil 2010-08-19 20:15:21 +0300 MSDOS.SYS 100555/r-xr-xr-x 47564 fil 2008-04-14 15:00:00 +0300 NTDETECT.COM 40555/r-xr-xr-x 0 dir 2010-08-20 18:10:41 +0300 Program Files 100666/rw-rw-rw- 77 fil 2010-10-05 20:36:37 +0300 SPECIAL.txt 40777/rwxrwxrwx 0 dir 2010-08-20 18:28:06 +0300 System Volume Information 40777/rwxrwxrwx 0 dir 2010-08-20 16:01:37 +0300 WINDOWS 100666/rw-rw-rw- 211 fil 2010-08-19 20:12:37 +0300 boot.ini 100444/r--r--r-- 250048 fil 2008-04-14 15:00:00 +0300 ntldr 100666/rw-rw-rw- 1610612736 fil 2010-10-05 18:05:00 +0300 pagefile.sys
الآن لتشغيل Timestomp يجب علينا تشغيل هذا المودل: meterpreter > use privLoading extension priv...success.
ثم بعد ذلك يمكننا تشغيل الأداة وإستخدامها : meterpreter > timestompUsage: timestomp file_path OPTIONS OPTIONS: -a <opt> Set the "last accessed" time of the file -b Set the MACE timestamps so that EnCase shows blanks -c <opt> Set the "creation" time of the file -e <opt> Set the "mft entry modified" time of the file -f <opt> Set the MACE of attributes equal to the supplied file -h Help banner -m <opt> Set the "last written" time of the file -r Set the MACE timestamps recursively on a directory -v Display the UTC MACE values of the file -z <opt> Set all four attributes (MACE) of the file
خصائص البرنامج واضحة لنقوم بعرض بيانات الملف SPECIAL.txt عن طريق الأداة: meterpreter > timestomp SPECIAL.txt -vModified : 2010-10-05 21:36:07 +0300 Accessed : 2010-10-05 21:36:07 +0300 Created : 2010-10-05 20:35:36 +0300 Entry Modified: 2010-10-05 21:36:07 +0300
لنقم بتعديل التاريخ الذي تم إنشاء فيه الملف على سبيل المثال ومن ثم نستعرض البيانات الخاصة بالملف بعد تعديله: meterpreter > timestomp SPECIAL.txt -c '09/01/2010 13:15:33'meterpreter > timestomp SPECIAL.txt -v Modified : 2010-10-05 21:36:07 +0300 Accessed : 2010-10-05 21:36:07 +0300 Created : 2009-09-01 13:15:33 +0300 Entry Modified: 2010-10-05 21:36:07 +0300
عن الكاتب:
التعليقات (8)
  أرسلت بواسطة: rootsystem2010 في October 10, 2010
مشاء الله مقال جميل بس هنا التحقيق الجنائي هل يستطيع معرفت هل تم استخدام هدة الاداة او لا ؟؟؟
 أرسلت بواسطة: Hit-Man في October 10, 2010
السلام عليكم
شكرا لك أخي ساري بخاري على الموضوع و الله أخي كنا ننتضر مقالاتك بخصوص التحقيق الجنائي تحياتي لك أخي
 أرسلت بواسطة: Sari Bukhari في October 10, 2010
أشكرك جميعاً على تعقيبكم..
بالنسبة عن استفسارك اخي rootsystem2010 , هذا يعود لمهارة الشخص الذي قام بتعدل البيانات, فبعضهم يقوم بمسح التاريخ والوقت إجمالاً وبالتالي يقوداً إليه مباشرة, بعضهم يقوم بتعديل الوقت والتاريخ بطريقة تشتت المحقق وهنا تكمن مشكلتنا =) .. على أي حال المحقق سوف يقوم بإستكشاف جميع الملفات المرتبطة بالجريمة حتى لو اضطرينا لقراءة بعض السكتورز من الهاردسك لإستخراج بعض الملفات المخفية منها =)
 أرسلت بواسطة: youness في October 11, 2010
اشكرك على المقال و كذا تذكري بهده الاداة من مشروع Metasploit و لا اعتقد بان الادوات المجودة في metasploit تخربية .. اخي ساري المحقق xD
 أرسلت بواسطة: Dr.NaNo في October 26, 2010
جزاك الله خير اخي ساري واصل ابداعكـ.
تحياتي لكـ.:
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
مقال رائع وطريقة جيدة لتفادي الكشف من خلال البينات الوصفية
أكيد راح تساعدنا"لاتفهمنا غلط" ^_^
بالتوفيق وننتظر جديدك على احر من الجمر